Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 5월 16일] 주요 보안 이슈
작성일 2019-05-16 조회 105

1. [기사] 떠오르는 브라질 해커들, 최근 백신 삭제 기능을 멀웨어에 더해
[https://www.boannews.com/media/view.asp?idx=79538]
최근 보안 업체 센티넬원(SentinelOne)이 발견한 바에 의하면 현재 브라질에서 가장 많이 사용되기 시작한 뱅킹 멀웨어인 밴로드(Banload)는 공격 표적을 바꾸는 데 있어 굉장히 유연하다고 한다. 밴로드는 브라질에서 만들어졌으며 지금은 아르헨티나, 볼리비아, 칠레, 베네수엘라, 스페인 등 주로 스페인어를 구사하는 나라들에서 발견되고 있다. 보안 업체 이셋(ESET)의 경우는 2019년 4월 30일 기준 밴로드의 82.9%가 브라질에서 발견되고 있다고 발표한 바 있다. 해커들은 밴로드의 기능을 업데이트하며 파일딜리트(FileDelete)라는 기능을 추가했다. 이 기능은 소프트웨어 드라이버와 인기 높은 백신 및 뱅킹 보호 프로그램의 실행 파일을 찾아 삭제하는 커널 모드 드라이버이다. 이에 센티넬원은 밴로드의 기술력 자체는 대단한 것이 아니지만 계속해서 요소가 추가되고 있고, 빠르게 공격에 활용되므로 상당히 유연하다고 언급했다. 만약, 이들의 유연성이 밖으로 나가는 순간 억제는 힘들 것이라고 한다. 


2. [기사] 인텔 프로세서에서 부채널 공격 가능케 해주는 취약점 새로 나와
[https://www.boannews.com/media/view.asp?idx=79528&page=1&mkind=1&kind=1]
인텔 프로세서를 탑재한 수천 만대의 컴퓨터들이 새로운 취약점들에 노출되어 있다는 연구 결과가 나왔다. 공격자들이 이를 익스플로잇 할 경우, 민감한 정보를 탈취할 수 있게 된다고 한다. 인텔은 물론, 이에 영향을 받은 여러 기술 업체들은 빠르게 패치를 발표했다. 이 취약점들을 통해 좀비로드(ZombieLoad), 악성 전송 데이터 로드(Rogue In-Flight Data Load, RIFD), 폴아웃(Fallout) 등의 부채널 공격 기법들을 발휘할 수 있게 된다. 인텔은 취약점들 전체에 마이크로아키텍처 데이터 샘플링(Microarchitectural Data Sampling, MDS)이라는 이름을 붙였다. 이 취약점들은 다음과 같다. 1) CVE-2018-12126 : 마이크로아키텍처 스토어 버퍼 데이터 샘플링, MSBDS 2) CVE-2018-12127 : 마이크로아키텍처 로드 포트 데이터, MLPDS 3) CVE-2018-12130 : 마이크로아키텍처 필 버퍼 데이터 샘플링, MFBDS 4) CVE-2018-11091 : 마이크로아키텍처 데이터 샘플링 언캐셔블 메모리, MDSUM  각 취약점의 공격법 및 PoC는 깃허브와 유튜브에 공개된 상태이며, ARM과 AMD 프로세스들과는 상관이 없다고 밝혀졌다. 


3. [기사] WhatsApp Security Flaw Could Allow Hackers To Install Spyware – Update Yours Now!
[https://latesthackingnews.com/2019/05/15/whatsapp-security-flaw-could-allow-hackers-to-install-spyware-update-yours-now/]
다시 한번 페이스북이 보안 문제로 인해 이슈가 됐다. Facebook에서 최근에 공개한 바와 같이 WhatsApp Messenger에는 모든 장치에 대한 심각한 취약성이 있다. 공격자는 이 WhatsApp 보안 결함을 이용해 대상 장치에 악성코드를 배포할 수 있다. WhatsApp 보안 취약성(CVE-2019-3568)은 WhatsApp VOIP 스택에는 버퍼 오버플로 취약성이 있으며 이를 통해 대상 전화번호로 전송된 특수하게 조작된 일련의 SRTCP 패킷을 통해 원격 코드가 실행될 수 있다. 즉, 잠재적인 공격자는 수정된 SRTP(Secure Real-time Transport Protocol) 패킷을 전송하여 대상 디바이스에 멀웨어를 전송할 수 있게 된다. 이번 취약성은 파이낸셜타임스에 따르면 이스라엘 NSO 그룹에서 배포한 것으로 밝혀졌다. 현재 WhatsApp에 있는 취약성은 패치가 된 상태이다. 


4. [기사] Hackers Distribute PLEAD Malware through Supply-chain and man-in-the-middle Attack
[https://gbhackers.com/plead-malware-supply-chain/]
보안 연구원이 PLEAD 악성코드를 발견했다. 이 악성코드는 ASUS Cloud Corporation에서 개발한 합법적인 소프트웨어를 사용하여 배포하고 있다. PLEAD 악성코드는 2012년에 발견됐으며 ASUS WebStorage의 윈도우즈 클라이언트인 AsusWSPanel.exe를 통해 새로 배포되고 있다고 한다. 연구원에 따르면, 두 가지 가능한 공격 시나리오는 공급망과 중간자 공격이라고 한다. 이 중 공급망 공격 가능성은 작다고 파악하고 있다. 중간자 공격(Man-in-the-middle)의 경우, HTTP 요청을 통해 업데이트 요청을 처리한다. 또한 실행하기 전에 다운로드한 업데이트에 대한 유효성 검사가 없다. 따라서 공격자가 업데이트 프로세스를 가로채면 악의적인 업데이트를 실행할 수 있다. ESET 조사 결과 영향을 받는 조직은 동일한 생산자가 만든 라우터를 가지고 있으며, 더욱이 이러한 라우터의 관리 패널은 인터넷에서 액세스할 수 있다. 따라서, 라우터 수준에서 MitM 공격이 가장 가능성이 높은 시나리오이다. 


5. [기사] Google Payment Privacy Settings Hidden Behind Special URL
[https://www.bleepingcomputer.com/news/google/google-payment-privacy-settings-hidden-behind-special-url/]
구글이 특수 URL을 통해 서비스의 설정 화면에 액세스하지 않는 한 세 가지 구글 페이 개인 정보 설정을 숨긴 것으로 밝혀졌다. 이러한 설정을 사용하면
구글 페이가 신용 상태, 개인 정보 또는 구글 페이 계정 정보를 공유하는지 여부를 제한할 수 있다. Reddit 사용자는 Google Pay 개인 정보 보호 고지를 읽고 기본 환경 설정과 다른 설정 페이지로 연결되는 링크를 발견했다. 이전 URL을 통해 페이지에 액세스하면 세 가지 추가 옵션이 있는 '개인 정보 설정' 섹션이 나타난다. 기본적으로 사용하도록 설정된 이러한 환경 설정을 통해 사용자는 구글의 다른 부분과의 데이터 공유 및 마케팅을 제한할 수 있다. 마지막 옵션은 타사 판매자에게 알리는 것과 관련이 있으며, 이 옵션을 선택하지 않으면 다른 사이트의 구글 페이 거래에 영향을 미칠 수 있다고 한다. 현재 구글은 이러한 문제를 이전 소프트웨어 업데이트 때문이라고 언급하고 있다. 

첨부파일 첨부파일이 없습니다.
태그 Banload  Intel  WhatsApp  CVE-2019-3568  Google pay